วิธีตรวจสอบพอร์ตที่เปิดอยู่ใน Linux ด้วย Commands หรือ PowerShell

คนส่วนใหญ่คิดว่าการตรวจสอบพอร์ตที่เปิดอยู่เป็นงานของผู้เชี่ยวชาญด้านความปลอดภัยเท่านั้น จนกว่าเซิร์ฟเวอร์ของตนจะถูกโจมตีผ่านพอร์ตที่เปิดทิ้งไว้โดยไม่รู้ตัว คุณสามารถตรวจสอบพอร์ตที่เปิดอยู่บน Linux ได้ด้วยคำสั่งในตัวอย่าง netstat, ss, lsof, nmap และ netcat หรือจะสแกนพอร์ตจากระยะไกลผ่าน PowerShell จากระบบ Windows ก็ได้ แต่ละวิธีให้ระดับรายละเอียดที่แตกต่างกัน และต้องการสิทธิ์การใช้งานที่ต่างกันด้วย

การจัดการพอร์ตสำคัญกว่าที่เคย กิจกรรมการสแกนเครือข่ายอัตโนมัติเพิ่มขึ้นอย่างต่อเนื่อง และผู้โจมตีค้นหาช่องโหว่ด้านการเข้าถึงอยู่ตลอดเวลา ไม่ว่าคุณจะกำลังรักษาความปลอดภัยเซิร์ฟเวอร์สำหรับ production หรือทดสอบบริการในเครื่อง การเข้าใจความปลอดภัยของพอร์ตถือเป็นพื้นฐานสำคัญของการดูแลระบบให้ปลอดภัยและใช้งานได้

TL;DR: สรุปย่อ

• ใช้ ss หรือ netstat สำหรับตรวจสอบพอร์ตที่กำลังรอรับการเชื่อมต่ออย่างรวดเร็ว โดยไม่ต้องติดตั้งเครื่องมือเพิ่มเติม
• ใช้ nmap เมื่อต้องการสแกนพอร์ตอย่างละเอียดพร้อมระบุบริการที่ทำงานอยู่
• ใช้ lsof เพื่อระบุว่าโปรเซสใดกำลังใช้พอร์ตนั้นอยู่
• ใช้ Test-NetConnection ของ PowerShell จาก Windows เพื่อตรวจสอบพอร์ตบนเซิร์ฟเวอร์ Linux จากระยะไกล

พอร์ตคืออะไร อธิบายแบบเข้าใจง่าย

ลองนึกภาพพอร์ตเป็นประตูหมายเลขต่าง ๆ บนเซิร์ฟเวอร์ของคุณ แต่ละพอร์ตทำหน้าที่เป็นจุดรับส่งการสื่อสารที่ traffic เครือข่ายเข้าหรือออกจากระบบ หมายเลขพอร์ตมีตั้งแต่ 0 ถึง 65,535 แบ่งออกเป็นสามกลุ่ม ได้แก่ well-known ports (0-1023), registered ports (1024-49151) และ dynamic ports (49152-65,535)

พูดง่าย ๆ คือเมื่อคุณเปิดเว็บไซต์ เบราว์เซอร์จะเชื่อมต่อไปที่พอร์ต 80 สำหรับ HTTP หรือพอร์ต 443 สำหรับ HTTPS เซิร์ฟเวอร์อีเมลรับที่พอร์ต 25 สำหรับ SMTP ส่วนการเข้าถึงจากระยะไกลผ่าน SSH ใช้พอร์ต 22 พอร์ตที่เปิดรอรับการเชื่อมต่อเหล่านี้ทำหน้าที่เป็นทางผ่านสำหรับ traffic ที่ถูกต้อง แต่หากปล่อยทิ้งไว้โดยไม่ได้ป้องกัน ก็อาจกลายเป็นช่องทางให้ผู้โจมตีใช้ประโยชน์ได้เช่นกัน

พอร์ตทำงานร่วมกับโปรโตคอลการขนส่งหลักสองตัว ได้แก่ TCP สำหรับการสื่อสารแบบเชื่อมต่อที่เชื่อถือได้ และ UDP สำหรับการถ่ายโอนข้อมูลที่เร็วกว่าแบบไม่ต้องเชื่อมต่อ การเข้าใจการทำงานของพอร์ตช่วยให้คุณตัดสินใจได้อย่างมีข้อมูลว่าพอร์ตใดควรเปิดทิ้งไว้และพอร์ตใดควรปิดเพื่อความปลอดภัยที่ดีขึ้น

วิธีตรวจสอบพอร์ตที่เปิดอยู่บน Linux

Linux มีเครื่องมือหลายตัวสำหรับวิเคราะห์พอร์ต แต่ละตัวมีข้อดีที่แตกต่างกัน บางตัวติดตั้งมาให้พร้อมใช้งาน ส่วนบางตัวต้องติดตั้งเพิ่มเติม การเลือกเครื่องมือที่เหมาะสมขึ้นอยู่กับระดับสิทธิ์ที่มี ความละเอียดที่ต้องการ และลักษณะการใช้งานของคุณ

การใช้คำสั่ง netstat

คำสั่ง netstat เป็นเครื่องมือที่ใช้วิเคราะห์เครือข่ายมาอย่างยาวนานหลายทศวรรษ หากต้องการตรวจสอบพอร์ตที่เปิดอยู่ ให้ใช้ netstat -tuln โดยแต่ละ flag มีหน้าที่เฉพาะ: -t แสดงการเชื่อมต่อ TCP, -u แสดงการเชื่อมต่อ UDP, -l กรองเฉพาะพอร์ตที่กำลังรอรับการเชื่อมต่อ และ -n แสดงผลลัพธ์ในรูปแบบตัวเลขแทนการแปลงชื่อโฮสต์

เมื่อรันคำสั่งนี้ คุณจะเห็นผลลัพธ์ที่แสดงโปรโตคอล ที่อยู่ local พร้อมหมายเลขพอร์ต ที่อยู่ปลายทาง และสถานะการเชื่อมต่อ ตัวอย่างเช่น 0.0.0.0:22 หมายความว่า SSH กำลังรอรับการเชื่อมต่อบนทุก network interface ที่พอร์ต 22 แต่ละรายการให้ข้อมูลทันทีเกี่ยวกับบริการที่ทำงานอยู่และสถานะเครือข่ายของบริการนั้น

ค่า คำสั่ง netstat บน Linux มี flag เพิ่มเติมสำหรับการวิเคราะห์ที่ละเอียดขึ้น การเพิ่ม -p จะแสดงว่าโปรเซสใดเป็นเจ้าของการเชื่อมต่อแต่ละรายการ แต่ต้องใช้สิทธิ์ root ตัวอย่างเช่น sudo netstat -tulnp จะแสดงทั้งพอร์ตและ process ID ที่ใช้งานอยู่

การใช้คำสั่ง ss

คำสั่ง ss เป็นตัวแทนสมัยใหม่ของ netstat ที่ให้ประสิทธิภาพที่ดีกว่าและแสดงสถิติ socket ได้ละเอียดกว่า ให้ใช้ ss -tuln ด้วย flag เดียวกับ netstat เพื่อให้ได้ผลลัพธ์ที่เทียบเคียงกันได้ อย่างไรก็ตาม ss ประมวลผลข้อมูลได้เร็วกว่า โดยเฉพาะบนระบบที่มีการเชื่อมต่อจำนวนมาก

สำหรับการตรวจสอบพอร์ตที่เปิดอยู่พร้อม filter ขั้นสูง ss มีตัวเลือก syntax ที่ทรงพลัง การรัน ss -tulnp | grep :22 จะแสดงเฉพาะการเชื่อมต่อที่เกี่ยวข้องกับ SSH คำสั่ง ss -tn state established จะแสดงการเชื่อมต่อ TCP ทั้งหมดที่กำลัง established อยู่ ช่วยให้คุณตรวจสอบ session ที่ใช้งานอยู่ได้

ข้อดีอย่างหนึ่งของ ss คือความสามารถในการ filter ตามเงื่อนไขที่ต้องการ ตัวอย่างเช่น ss -t '( dport = :80 or sport = :80 )' จะแสดงเฉพาะการเชื่อมต่อที่เกี่ยวข้องกับ web traffic บนพอร์ต 80 ความแม่นยำนี้ทำให้ ss มีประโยชน์มากในการ troubleshoot ปัญหาของ service เฉพาะ

การใช้คำสั่ง lsof

คำสั่ง lsof เก่งเป็นพิเศษในการระบุว่า process ใดกำลังใช้พอร์ตอยู่ การรัน sudo lsof -i -P -n จะแสดงการเชื่อมต่อเครือข่ายทั้งหมดพร้อมรายละเอียดของ process โดย flag -i ใช้ filter การเชื่อมต่ออินเทอร์เน็ต, -P ป้องกันการแปลงหมายเลขพอร์ตเป็นชื่อ service และ -n ข้ามการ resolve DNS เพื่อให้ได้ผลลัพธ์เร็วขึ้น

เมื่อต้องการหาว่าอะไรกำลังใช้พอร์ตที่ต้องการ lsof ให้คำตอบได้ทันที เช่น sudo lsof -i :3306 จะบอกได้ว่า MySQL กำลังทำงานอยู่หรือไม่ และ process ID ใดเป็นเจ้าของพอร์ตนั้น สิ่งนี้มีความสำคัญมากเมื่อต้อง troubleshoot ปัญหาพอร์ตชนกัน หรือระบุ service ที่ไม่ได้รับอนุญาต

คุณยังสามารถ filter ผลลัพธ์ตาม application ที่ต้องการได้ หากสงสัยว่าโปรแกรมใดโปรแกรมหนึ่งกำลัง listen บนพอร์ตที่ไม่คาดคิด sudo lsof -i -a -p [PID] จะแสดงการเชื่อมต่อเครือข่ายทั้งหมดของ process ID นั้น

การใช้ Nmap สำหรับ Port Scanning

Nmap เป็นหนึ่งในเครื่องมือ port scanning ที่ครอบคลุมที่สุดที่มีอยู่ ติดตั้งด้วยคำสั่ง sudo apt install nmap บนระบบ Ubuntu หรือ Debian สำหรับการตรวจสอบพอร์ตในเครื่อง ใช้ nmap localhost or nmap 127.0.0.1 สำหรับการสแกนพื้นฐาน

สำหรับ remote server ให้ระบุ IP address: nmap 192.168.1.100Nmap ให้ข้อมูลละเอียดเกี่ยวกับพอร์ตที่เปิดอยู่ เวอร์ชันของ service และสามารถตรวจจับระบบปฏิบัติการได้ด้วย flag ขั้นสูง คำสั่ง nmap -sV localhost จะตรวจจับเวอร์ชันของ service และแสดงให้เห็นว่าซอฟต์แวร์ใดกำลังทำงานอยู่บนแต่ละพอร์ต

ทีม security ให้ความสำคัญกับความสามารถของ Nmap ในการทดสอบกฎ firewall การรัน nmap -Pn [IP] จะสแกน host ได้แม้ ping จะถูกบล็อกอยู่ อย่างไรก็ตาม ตรวจสอบให้แน่ใจเสมอว่าคุณได้รับอนุญาตก่อนสแกน remote server เนื่องจากการสแกนพอร์ตโดยไม่ได้รับอนุญาตอาจละเมิดนโยบายความปลอดภัย

การใช้ Netcat (nc) เพื่อตรวจสอบพอร์ตที่เปิดอยู่

Netcat มีวิธีตรวจสอบพอร์ตที่เรียบง่ายและใช้ทรัพยากรน้อย คำสั่ง nc -zv localhost 22-80 สแกนพอร์ตตั้งแต่ 22 ถึง 80 และแสดงผลว่าพอร์ตใดรับการเชื่อมต่อได้บ้าง ค่า flag -z เปิดใช้โหมดสแกนโดยไม่ส่งข้อมูล ส่วน -v แสดงผลลัพธ์แบบละเอียด

สำหรับการตรวจสอบพอร์ตเดียว nc -zv hostname 443 ช่วยยืนยันได้อย่างรวดเร็วว่า HTTPS เข้าถึงได้หรือไม่ วิธีนี้มีประโยชน์ในสคริปต์และ automation workflow นอกจากนี้ยังสามารถใช้ netcat ร่วมกับ shell loop เพื่อสแกนพอร์ตในวงกว้างขึ้นได้: for port in {1..1000}; do nc -zv localhost $port 2>&1 | grep succeeded; done

ค่า ผู้ฟังของ netcat ความสามารถของ Netcat ไม่ได้จำกัดแค่การตรวจสอบพอร์ต แต่ยังครอบคลุมถึงการทดสอบบริการจริงและการถ่ายโอนข้อมูล จึงเป็นเครื่องมือที่มีประโยชน์หลากหลายสำหรับผู้ดูแลระบบทุกคน

การใช้ PowerShell เพื่อตรวจสอบพอร์ตที่เปิดอยู่

PowerShell ช่วยให้ผู้ใช้ Windows ตรวจสอบพอร์ตที่เปิดอยู่บนเซิร์ฟเวอร์ Linux ได้โดยไม่ต้องติดตั้งซอฟต์แวร์เพิ่มเติม คำสั่ง Test-NetConnection -ComputerName [Linux-IP] -Port 22 ตรวจสอบว่า SSH เข้าถึงได้จากเครื่อง Windows หรือไม่

สำหรับการสแกนหลายพอร์ตพร้อมกัน ให้สร้าง PowerShell loop อย่างง่าย: 1..1024 | ForEach-Object { Test-NetConnection -ComputerName 192.168.1.100 -Port $_ -WarningAction SilentlyContinue } | Where-Object { $_.TcpTestSucceeded }วิธีนี้ใช้งานได้ดีเมื่อต้องการตรวจสอบพอร์ตบน Ubuntu, Debian หรือ Linux ดิสทริบิวชันอื่น ๆ จากระบบ Windows

ข้อได้เปรียบของ PowerShell อยู่ที่การผสานรวมกับโครงสร้างพื้นฐานของ Windows ได้โดยตรง ไม่ว่าจะเป็นการส่งออกผลลัพธ์เป็น CSV การแจ้งเตือนทางอีเมล หรือการตอบสนองอัตโนมัติตามสถานะของพอร์ต จึงเหมาะสำหรับการ monitor สภาพแวดล้อมแบบ hybrid

การเปรียบเทียบวิธีการสแกนพอร์ต

เครื่องมือ	คำสั่งและไวยากรณ์	เหมาะสำหรับ	ข้อกำหนดเบื้องต้น
netstat	netstat -tuln	ดูภาพรวมของพอร์ตที่กำลัง listen อยู่อย่างรวดเร็ว	ติดตั้งมาพร้อมกับระบบส่วนใหญ่
ss	ss -tuln	ทำงานได้เร็ว พร้อมข้อมูล socket แบบละเอียด	ติดตั้งมาพร้อมกับระบบ (Linux รุ่นใหม่)
lsof	sudo lsof -i -P -n	ค้นหาว่ากระบวนการใดใช้พอร์ตนั้นอยู่	ต้องใช้สิทธิ์ root หรือ sudo
nmap	nmap localhost	สแกนพอร์ตได้อย่างครอบคลุม	ต้องติดตั้งเพิ่มเติม
netcat	nc -zv host port	ทดสอบการเชื่อมต่อพอร์ตเบื้องต้น	ติดตั้งไว้แล้ว หรือติดตั้งได้ง่าย
PowerShell	Test-NetConnection	สแกนระยะไกลจาก Windows	ต้องใช้เครื่อง Windows

พอร์ตทั่วไปของ Linux และบริการที่เกี่ยวข้อง

Port	บริการ	โปรโตคอล	การใช้งานทั่วไป
22	SSH	TCP	การเข้าถึงระยะไกลอย่างปลอดภัยผ่าน การเชื่อมต่อระยะไกลด้วย SSH
80	HTTP	TCP	ทราฟฟิกเว็บที่ไม่ได้เข้ารหัส
443	HTTPS	TCP	ทราฟฟิกเว็บที่เข้ารหัสแล้ว
21	FTP	TCP	การถ่ายโอนไฟล์
25	SMTP	TCP	การส่งอีเมล
3306	MySQL	TCP	การเชื่อมต่อฐานข้อมูล
5432	PostgreSQL	TCP	การเชื่อมต่อฐานข้อมูล

การกำหนดค่าพอร์ตต้องอาศัยความเข้าใจเรื่องการตั้งค่า firewall และการผูกบริการ ผู้ดูแลระบบหลายคน เปลี่ยนพอร์ต SSH ใน Linux จากค่าเริ่มต้น 22 ไปเป็นพอร์ตที่ไม่ใช่มาตรฐาน เพื่อลดการโจมตีแบบอัตโนมัติ Telnet กับ SSH การถกเถียงนี้ชี้ให้เห็นว่าทำไมพอร์ต 23 (Telnet) ควรปิดไว้ และใช้พอร์ต 22 ที่มีโปรโตคอล SSH แบบเข้ารหัสแทน

ทำความเข้าใจกับ Open Ports ใน Linux

ทุกพอร์ตที่เปิดอยู่คือช่องทางที่อาจถูกใช้เจาะเข้าระบบได้ ความเสี่ยงด้านความปลอดภัยทวีความรุนแรงขึ้น โดยกิจกรรมสแกนพอร์ตแบบอัตโนมัติพุ่งสูงขึ้น 16.7% ทั่วโลกเนื่องจากผู้ไม่หวังดีหาช่องโหว่อยู่ตลอดเวลา การสแกนลักษณะนี้ครอบคลุมพอร์ตหลายพันล้านรายการต่อเดือน เพื่อค้นหาบริการที่กำหนดค่าผิดพลาดหรือซอฟต์แวร์ที่ล้าสมัย

ฟังดูสมเหตุสมผล แต่เกิดอะไรขึ้นจริงๆ เมื่อผู้โจมตีพบ open port? สถานะของพอร์ตบอกเรื่องราวได้ทั้งหมด พอร์ตที่อยู่ในสถานะ LISTEN คือพร้อมรับการเชื่อมต่อขาเข้า สถานะ ESTABLISHED หมายถึงกำลังถ่ายโอนข้อมูลอยู่ และ TIME_WAIT แสดงว่าการเชื่อมต่อเพิ่งปิดไปแต่ยังถูกติดตามอยู่ ผู้โจมตีใช้ประโยชน์จาก open ports หลายวิธี ได้แก่ brute force บน SSH (พอร์ต 22), SQL injection ผ่านพอร์ตเว็บ (80/443) และการรันโค้ดจากระยะไกลผ่านบริการที่มีช่องโหว่

การเปิดพอร์ตอย่างปลอดภัยต้องใช้แนวทาง defense-in-depth เริ่มจากตั้งค่า firewall แบบปฏิเสธทุกอย่างเป็นค่าเริ่มต้น แล้วตรวจสอบการกำหนดค่าด้วย iptables แสดงกฎเปิดเฉพาะพอร์ตที่ใช้งานจริง และปิดทันทีเมื่อไม่ต้องการแล้ว พิจารณาเปลี่ยนพอร์ตเริ่มต้นของบริการทั่วไปเพื่อลดโอกาสที่การสแกนอัตโนมัติจะสำเร็จ

ระบบนิเวศของ Linux เผชิญกับความท้าทายด้านความปลอดภัยครั้งใหญ่ โดยมีช่องโหว่หลายร้อยรายการที่ต้องแก้ไข การตรวจสอบพอร์ตเป็นประจำช่วยให้คุณค้นพบบริการที่ไม่ได้รับอนุญาตก่อนผู้โจมตีจะพบ ใช้เครื่องมือโอนไฟล์ที่คำนึงถึงความปลอดภัย เช่น การคัดลอกไฟล์ผ่าน SSH แทนที่จะใช้ FTP ที่ไม่มีการเข้ารหัส เมื่อต้องโอนไฟล์ระหว่างระบบ การใช้ SCP เพื่อคัดลอกไฟล์จากระบบระยะไกลมายังเครื่องตัวเอง จะช่วยให้การถ่ายโอนข้อมูลผ่านช่องทางที่ปลอดภัยของ SSH

แนวปฏิบัติที่ดีได้แก่ การตั้งค่า port knocking สำหรับบริการที่ต้องการความปลอดภัยสูง การใช้ fail2ban เพื่อบล็อกการพยายามล็อกอินซ้ำ และการเก็บ log การเชื่อมต่ออย่างละเอียด นอกจากนี้ควรตรวจสอบความปลอดภัยเป็นประจำ เพื่อดูว่า port ใดยังเปิดอยู่และยังจำเป็นต้องใช้งานจริงหรือไม่

Cloudzy VPS บน Linux ช่วยจัดการ Port ได้อย่างไร

การจัดการ port จะง่ายขึ้นมากเมื่อมี infrastructure ที่ตั้งค่าไว้อย่างเหมาะสม Linux VPS โซลูชันของ Cloudzy มาพร้อมการตั้งค่าความปลอดภัยสำเร็จรูป ครอบคลุมกฎ firewall ที่ชาญฉลาดและการจัดการ port ที่สะดวกผ่าน control panel ที่ใช้งานง่าย และด้วย root access เต็มรูปแบบ คุณควบคุมได้ทั้งหมดว่าจะเปิดหรือปิด port ใด

ประสิทธิภาพมีความสำคัญเมื่อต้องตรวจสอบและจัดการ port ที่เก็บข้อมูล NVMe ของ Cloudzy ช่วยให้เครื่องมือ port scanning ทำงานได้อย่างรวดเร็ว ส่วนการเชื่อมต่อสูงสุด 10 Gbps รองรับปริมาณ traffic สูงได้โดยไม่มีคอขวด และเนื่องจาก Linux เป็นพื้นฐานของ server infrastructure ทั่วโลกในสัดส่วนที่มากจึงได้รับการพิสูจน์มาแล้วว่าการตั้งค่าเหล่านี้ใช้งานได้จริงและเชื่อถือได้

เริ่มต้นเพียง $3.96 ต่อเดือน คุณจะได้สภาพแวดล้อมระดับมืออาชีพที่เหมาะสำหรับฝึกฝนการจัดการ port ตำแหน่ง data center หลายแห่งช่วยให้คุณทดสอบการตั้งค่าแบบกระจายตามภูมิภาค และทีมซัพพอร์ต 24/7 พร้อมช่วยเรื่องการตั้งค่า firewall ที่ซับซ้อนหรือปัญหาที่เกี่ยวกับ port ไม่ว่าคุณจะกำลังเรียนรู้วิธีตรวจสอบ port ที่เปิดอยู่บน Linux หรือ deploy บริการสู่ production การมีสภาพแวดล้อม VPS ที่ยืดหยุ่นช่วยให้งานด้านความปลอดภัยของคุณเดินหน้าได้เร็วขึ้น

สรุป

แล้ววิธีที่ดีที่สุดในการตรวจสอบ port ที่เปิดอยู่คืออะไร พูดตรงๆ ก็คือไม่มีวิธีเดียวที่ดีที่สุด สำหรับการตรวจสอบเครื่องตัวเองแบบเร็ว ss หรือ netstat ก็ทำได้โดยไม่ยุ่งยาก เมื่อต้องการ audit ความปลอดภัยแบบละเอียด Nmap เผยให้เห็นทุกอย่าง ถ้าต้องการหาว่า process ไหนใช้ port อยู่ lsof ช่วยประหยัดเวลาได้มาก และ PowerShell เชื่อม Windows กับ Linux เข้าด้วยกันเมื่อต้องการตรวจสอบจากระยะไกล

บทเรียนที่แท้จริงที่นี่ไม่ใช่การจำคำสั่ง แต่คือการทำให้การ audit port กลายเป็นกิจวัตร ไม่ใช่สิ่งที่ทำเฉพาะตอนมีปัญหา ตั้งเวลาสแกนทุกสัปดาห์ ปิด port ที่ไม่ได้ใช้ทันทีที่พบ และบันทึกไว้ว่าบริการใดต้องการ port ใด แนวทางนี้เปลี่ยนการตรวจสอบ port จากการแก้ปัญหาเฉพาะหน้าให้กลายเป็นการป้องกันเชิงรุก